2023年10月9日、LINEヤフー株式会社が不正アクセスを受け、個人情報合計約44万件が漏洩した。侵入経路は韓国NAVER Cloud社の委託先社員PCに仕込まれたマルウェアから始まり、旧LINE社とNAVER Cloudが共有していた認証基盤を経由して日本側のシステムへと侵入するという多段階の経路をたどった。翌2024年3月には総務省が異例の「資本関係の見直し」を含む行政指導を実施し、日韓間のデジタル主権を巡る議論にまで発展した事案だ。「グループ内の共通認証基盤がリスクになる」という新種の教訓として、日本のIT・プラットフォーム業界に重くのしかかっている。
組織概要
LINEヤフー株式会社は2023年10月1日——この不正アクセス発生のわずか8日前——にZホールディングス株式会社、LINE株式会社、ヤフー株式会社の3社が合併して誕生した。月間アクティブユーザー9,600万人(国内)を抱える「LINE」を中核に、Yahoo! JAPAN・PayPay連携など日本最大規模のインターネットサービスを運営する。旧LINE株式会社の法人としての歴史は韓国NAVER Corporation(ネイバー)の日本法人に遡り、現在もLINEヤフー社の親会社A Holdings(ソフトバンク・NAVER折半出資)を通じて、NAVERが実質的な株主として関与している。このグループ内の資本・システム関係が、今回の事案の核心となる。
何が起きたのか
タイムライン
- 2023年10月9日:不正アクセスが発生。NAVER Cloud社の業務委託先社員が使用するPCがマルウェアに感染し、そこからLINEヤフーの社内システムへの不正アクセスが実行された。
- 2023年10月17日:LINEヤフー社がシステムに異常を検知。
- 2023年10月27日:調査の結果、不正アクセスによるデータ漏洩が発生したことを確認。
- 2023年11月27日:LINEヤフーが不正アクセス・個人情報漏洩を公式発表。漏洩件数は当初「最大約44万件」として公表。
- 2023年12月26日:追加調査の結果、漏洩件数が更新され詳細が確定。
- 2024年1月(個人情報保護委員会):個人情報保護委員会がLINEヤフーに対して報告を求める指導を実施。
- 2024年3月5日:総務省がLINEヤフーに対して行政指導を実施。通信の秘密・利用者情報の適正な取扱いについての措置を求めるとともに、「資本関係を含めたNAVERとの関係見直し」を求める異例の内容となった。
- 2024年4月1日:LINEヤフーが総務省に改善報告書を提出。セキュリティ対策の具体的な計画を示した。
- 2024年4月16日:総務省が再度行政指導。改善報告書の内容が不十分として追加の対応を求めた。
攻撃経路の分析
初期侵入:NAVER Cloud委託先社員PCのマルウェア感染(確認済み)
LINEヤフーが公表した調査結果によると、侵入の起点はNAVER Cloud社の業務委託先(サードパーティ)の社員が使用するPCにマルウェアが感染したことだ。このPCが具体的にどのような手口でマルウェアに感染したか(フィッシング・ドライブバイダウンロード・既知脆弱性の悪用等)は公表されていない。
横展開:共通認証基盤の悪用(確認済み)
この事案で最も重要な攻撃経路が「旧LINE社とNAVER Cloudが共有していた認証基盤」だ。旧LINE社はかつてNAVER Corporationの日本子会社であった歴史から、一部のシステム・インフラをNAVER Cloudと共同運用していた。この共通認証基盤(シングルサインオン等の共有システム)を経由することで、攻撃者はNAVER Cloud側のネットワークからLINEヤフー社のシステムへとアクセスが可能な状態にあった。
「委託先PCのマルウェア感染 → NAVER Cloud内部への侵入 → 共通認証基盤を経由 → LINEヤフーシステムへの不正アクセス」という多段階の侵入経路は、合併・分社等の企業再編後に古いシステム連携が残存するリスクを典型的に示している。
なぜNAVERへの接続が残っていたのか
LINEは2021年に韓国サーバーから日本サーバーへのデータ移転を段階的に進めていたが(個人情報の国外保管問題を受けて)、システムの完全分離は複雑な工程を要する。特にシングルサインオン等の認証基盤は、関連サービスが広範に依存しているため分離が難しく、合併後もNAVER Cloudとの共通部分が残存していた。このシステム分離の遅れ・不完全さが、攻撃経路として機能してしまった。
被害内容
漏洩した個人情報の詳細
| 区分 | 件数 | 主な内容 |
|---|---|---|
| LINEユーザー(国内) | 129,894件 | LINEユーザー識別子・サービス利用情報 |
| LINEユーザー(国外) | 172,675件 | 同上(台湾・タイ等) |
| ユーザー小計 | 302,569件 | |
| 取引先(パートナー) | 86,105件 | 氏名・メールアドレス・会社名等 |
| 従業員・元従業員(グループ含む) | 51,353件 | 氏名・メールアドレス・社員番号等 |
| 合計 | 440,027件 |
漏洩していない情報(確認済み)
- LINE内のトークメッセージ内容
- 銀行口座・クレジットカード番号
- LINE Payの決済・残高情報
- マイナンバー
ただし、ユーザーのLINEメッセージ内容が漏洩しなかったのは技術的な分離設計によるものであり、「認証情報や属性情報が漏洩した」という事実は軽視できない。
行政への影響
- 個人情報保護委員会による指導(2024年1月)
- 総務省による行政指導×2回(2024年3月、4月)
- 「NAVERとの資本関係見直し」要求——これは通常のサイバーインシデントへの行政対応を超えた、デジタル主権・外資規制に近い要求として注目を集めた
なぜ被害が拡大したのか
1. 企業合併後の「残存する旧システム連携」がリスクになった
旧LINE社はNAVER Corporationの日本子会社として設立・成長した歴史から、共通ID・認証基盤・インフラをNAVERと共有したまま合併・ブランド変更を経ていた。このような「システムの歴史的な依存関係」はM&A・合併後の企業でよく見られる問題だ。表向きは独立した企業・ブランドであっても、内部システムはまだ「つながったまま」という状態が放置されると、一方が攻撃を受けたときに他方も被害を受ける。
2. 委託先(サードパーティ)のセキュリティ管理
侵入の起点はNAVER Cloudの「業務委託先」の社員PCだ。委託先企業のPCに対して、発注元はどこまでセキュリティ要件を課せるか——これはサプライチェーンセキュリティの古典的な問題だ。自社のセキュリティポリシーを守っていても、委託先が守っていなければ攻撃の入口になる。
3. 発覚から公表まで40日以上
不正アクセス発生が10月9日、公表が11月27日——発覚(10月17日)から公表まで約40日かかった。個人情報保護法の観点では一定の調査期間は認められるが、通常は「速やか」(概ね3〜5日以内)の委員会報告が求められる。この公表のタイミングと行政対応の遅さが、追加の行政指導につながった可能性がある。
4. 国際的な資本・システム関係の複雑性
日韓にまたがる資本関係・システム共有は、日本の個人情報保護法・電気通信事業法の適用範囲外の事業者が攻撃経路になるという「法規制のギャップ」も生んでいた。この複雑性が事態の収拾を困難にし、行政指導においても「資本関係の見直し」という異例の要求につながった。
同様の攻撃を防ぐ方法
企業合併・グループ再編後のシステム分離を徹底する
- M&A・合併・分社後に「旧来の共通認証基盤・共有ネットワーク」が残存していないか棚卸しを行う
- 特に認証基盤(IAM・SSO)と特権アクセス管理(PAM)は最優先でグループ外との分離計画を策定する
- 分離完了まで監視を強化し、グループ外からの認証を特権アクセス管理で把握できる状態にする
委託先(サードパーティ)のセキュリティ管理
- 重要情報にアクセスできる委託先企業のセキュリティ要件をSLA(サービスレベル合意)または契約に明記する(EDR導入・パッチ管理・MFA必須化等)
- 委託先が重要システムにアクセスする際はVPN+MFAを必須とし、業務に必要な最小権限のみ付与する
- 委託先のセキュリティ状況を年1回以上(変更時は都度)確認する監査プロセスを設ける
- 「委託先のPCが感染した場合でも被害を局所化できるネットワーク設計」——委託先から自社内部への横断的なアクセスを技術的に制限する
グループ間の認証分離とゼロトラスト
- グループ会社であっても「社内ネットワーク=信頼できる」という前提を捨て、ゼロトラストアーキテクチャを採用する
- シングルサインオン(SSO)を複数の独立した事業体で共有することのリスクを経営レベルで認識し、分離ロードマップを策定する
- NAVER事案で問題になったように、「旧来の便利さ」のために残った共通認証基盤が最大のリスクになり得る
個人情報漏洩時の迅速な公表体制
- 個人情報保護法(2022年改正)では、一定規模以上の漏洩は個人情報保護委員会への「速やかな」報告(概ね3〜5日以内)と30日以内の本人通知が義務付けられている
- 漏洩の有無が確認できた時点で報告フローを開始し、調査が完了していなくても「確認できた範囲」での速報報告を行う
- 電気通信事業者(通信の秘密を扱う事業者)は、さらに電気通信事業法の観点でも総務省への報告義務があることを把握しておく
情シス担当者が確認すべき項目
- 自社グループ内で「共通認証基盤・共通ID管理システム」を複数の独立した法人間で共有していないか。特にM&A・合併後の残存連携を確認する
- 業務委託先(サードパーティ)が自社の重要システムにアクセスできる場合、どのような認証・アクセス制御が設定されているか。MFAは設定されているか
- 委託先・グループ会社のセキュリティ要件(EDR導入・パッチ管理・MFA)を契約・SLAに明記しているか
- 委託先から自社システムへのアクセスログを取得・監視する仕組みがあるか
- グループ外(親会社・関連会社)ネットワークと自社ネットワークの間に適切なセグメント分割・ファイアウォールが設定されているか
- 個人情報漏洩時の個人情報保護委員会への報告フロー(「速やか」の基準・担当者・テンプレート)が整備されているか
- 電気通信事業者に該当する場合、総務省への報告義務と手順を把握しているか
- LINEビジネスアカウント・LINE Works等を業務利用している場合、利用データの取り扱いポリシーを確認したか
- 自社が国外(特に中国・韓国等の異なる法体系の国)の親会社・グループ会社と共通システムを利用している場合、日本の個人情報保護法の適用範囲をリーガルと確認しているか
- ゼロトラストアーキテクチャの採用状況——「同じグループだから信頼できる」という前提をなくす設計になっているか
類似事例
- LINE個人情報の中国からのアクセス問題(2021年):LINEヤフーの前身であるLINE株式会社が中国の関連会社の社員がLINEの個人情報にアクセスできる状態にあったことが発覚。「データは日本にあるが中国から見える」という国境を越えたデータアクセスリスクが問題視された。今回の不正アクセスに通じる「グループ内の国際的なシステム連携リスク」の先行事例。
- Okta(米国、2023年):ID管理・認証SaaS最大手のOktaが攻撃を受け、Cloudflare・BeyondTrust・1Passwordなど複数の重要顧客のサポートチケットデータが漏洩した。共通認証基盤を攻撃することで「そのサービスを信頼している多数の組織」に同時にアクセスできるという構造が共通する。「認証基盤そのものを狙う攻撃」の国際的な事例。
- NTTグループへの不正アクセス(日本、2020年):NTTコミュニケーションズが攻撃を受け、国内外の顧客情報約621社分が漏洩した可能性がある事案。委託先経由の侵入路(B2Bネットワーク)が機能したという点でLINEヤフー事案と共通する構造を持つ。NTTの場合も内部調査に時間を要し、発覚から公表まで約3ヶ月かかった。
参考情報
- LINEヤフー株式会社「不正アクセスによる情報漏えいに関するお知らせ」(2023年11月27日)
- LINEヤフー株式会社「不正アクセスによる情報漏えいに関するご報告(第2報)」(2023年12月26日)
- 総務省「LINEヤフー株式会社に対する行政指導」(2024年3月5日)
- 総務省「LINEヤフー株式会社に対する行政指導(2回目)」(2024年4月16日)
- 個人情報保護委員会「LINEヤフー株式会社に対する指導・勧告について」(2024年)
- piyolog「LINEヤフーへの不正アクセスと行政指導についてまとめてみた」(2024年)
- 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」